Dados Dow Jones expostos em servidor público. Um “terceiro autorizado” expôs um banco de dados da Dow Jones com mais de 2,4 milhões de registros de risco de empresas e Pessoa Politicamente Exposta (PEP) em um servidor público sem proteção. O incidente de exposição de dados aponta para a importância do gerenciamento adequado do risco do fornecedor, dizem especialistas em segurança.
Bob Diachenko, um pesquisador de segurança independente, disse que encontrou uma cópia do conjunto de dados do Dow Jones Watchlist, disponível em um cluster público de 48GB do Elasticsearch e disponível para acesso público a qualquer pessoa que soubesse onde procurar .
“Usado por oito das dez maiores instituições financeiras globais, o Dow Jones Watchlist está estatisticamente comprovado como a lista mais precisa, completa e atualizada de PEPs sênior (pessoas politicamente expostas), seus parentes e associados próximos” . diz Bob.
O banco de dados que Bob descobriu continha a impressionante quantidade de 2.418.862 de registros detalhando:
- Cobertura global de pessoas com experiência política, seus parentes, associados próximos e as empresas às quais estão vinculados.
- Listas e categorias de sanções governamentais nacionais e internacionais
- Pessoas oficialmente ligadas a, ou condenadas por crime de alta visibilidade
- Notas de perfil da Dow Jones, incluindo citações de agências federais e fontes policiais.
Em outras palavras, continha as identidades de funcionários do governo, políticos e pessoas de influência política em todos os países do mundo. Os dados são projetados para ajudar a identificar riscos ao pesquisar durante uma due diligence. Obviamente, os bancos usam os dados da Watchlist para identificar a lavagem de dinheiro e pagamentos ilícitos por meio de informações importantes sobre a identidade de uma figura pública.
Cada registro apresentava uma ou várias listas em que um indivíduo foi colocado:
- Pessoa Politicamente Exposta (PEP)
- Pessoa de interesse especial (SIP) ou Entidade de interesse especial (SIE)
“Fazer negócios com a pessoa errada apenas uma vez pode resultar em grandes penalidades financeiras para sua organização e processos judiciais contra executivos-chave. O escândalo resultante pode causar danos irreparáveis à sua reputação corporativa ”. citação do folheto de vendas da Dow Jones.
Depois de entrar em contato com a equipe de resposta a incidentes de segurança da Dow Jones no mesmo dia em que a instância foi descoberta, o banco de dados foi removido com a seguinte declaração, do Down Jones:
“Esses dados são inteiramente derivados de fontes disponíveis publicamente. No momento, nossa análise sugere que isso é resultado da configuração incorreta de um servidor da AWS de terceiros autorizados, e os dados não estão mais disponíveis.”
Revelar publicamente o banco de dados além do vazamento supracitado pode ser imprudente: o banco de dados de Watchlists contém informações confidenciais sobre os cidadãos em relação a seus supostos históricos criminais e possíveis vínculos com terroristas.
A Dow Jones disse em um comunicado que “um terceiro autorizado” era o culpado pela exposição, mas não citou a empresa. A Dow Jones se recusou a fornecer mais detalhes sobre o incidente.
Pesquisadores de segurança afirmam que o incidente destaca a necessidade de um gerenciamento adequado do risco do fornecedor. Um relatório recente da Verizon descobriu que uma de cada duas violações de dados vem de riscos de terceiros.
Muitas organizações se concentram em proteger sua própria infraestrutura de TI, ignorando a segurança dos dados entregues a terceiros, dizem especialistas em segurança. “Isso se torna um grande problema porque você é tão vulnerável quanto o seu fornecedor que gerencia seus dados”, diz Edwin Lim, diretor de serviços profissionais – APJ, da Trustwave, uma empresa da Singtel.
Para mitigar esses riscos, os especialistas sugerem a classificação dos fornecedores em termos de exposição ao risco, interagindo com os principais fornecedores regularmente e mantendo políticas claras do fornecedor.
Servidor com vazamento
Um servidor ElasticSearch contendo dados da Dow Jones aparentemente ficou exposto na internet sem uma senha por quase duas semanas, “O servidor com vazamento foi descoberto por Diachenko, durante uma auditoria de segurança regular de servidores inseguros indexados pelo mecanismo de busca Shodan. Ele estava vazando mais de 73 GB de dados e vários bancos de dados foram armazenados em cache na memória do servidor“, diz Ranjan.
Diachenko escreveu em um blog que os dados eram “indexados, marcados e pesquisados“. O TechCrunch relatou que os dados expostos no servidor incluíam funcionários eleitos atuais e passados, pessoas e empresas sancionadas, indivíduos com ligações terroristas, “pessoas de interesses especiais” e aqueles condenados por crimes financeiros.
Os dados incluíam nomes, endereços, locais, datas de nascimento, descrições físicas, idiomas principais, parentes, gêneros e fotos, além de notas detalhadas sobre cada pessoa ou empresa, informa o TechCrunch. Todos os dados foram coletados de fontes públicas, diz a Dow Jones. Ainda não se sabe se alguém além de Diachenko acessou os dados.
Esta não é a primeira vez que a Dow Jones está envolvida em um grande vazamento de dados. Dois anos atrás, julho de 2017, noticiamos aqui no blog Minuto da Segurança que a Dow Jones reconheceu que um erro de configuração de armazenamento em nuvem similar expunha os nomes e informações de contato de 2,2 milhões de clientes (veja:Brecha no Amazon Cloud Service Bucket Expõe Dados de 4Mi de clientes do Dow Jones )
Desafios da Gestão de Risco
O gerenciamento de riscos de fornecedores de terceiros nunca foi fácil porque é difícil exigir controles de segurança para os fornecedores. Especialistas dizem que as empresas acham difícil entender claramente como a segurança é gerenciada pelos fornecedores em sua cadeia de suprimentos.
“Com as empresas terceirizando seu trabalho, incluindo TI, há uma enorme mudança no paradigma de risco“, diz Sunil Chandiramani, fundador da NYKA Advisory Services, uma empresa de consultoria de gestão sediada na Índia. “Anteriormente, você poderia estar conectado através de cópias impressas. Hoje, temos fornecedores trabalhando em seus sistemas como administradores”.
Sachin Kawalkar, vice-presidente do J.P. Morgan na Índia, observa: “Manter um controle sobre todos os fornecedores requer disciplina, o que é mais fácil dizer do que fazer, mas, mesmo assim, é uma coisa crucial“.
Diversas instituições financeiras, incluindo a American Express, o Bank of America, o JPMorgan Chase e o Wells Fargo, formaram um consórcio setorial para trabalhar no sentido de transformar o gerenciamento de risco de terceiros.
Técnicas de Mitigação
A Kawalkar sugere que as empresas classifiquem os fornecedores que têm acesso aos seus dados com base no nível de riscos envolvidos.
“Os fornecedores de alto risco precisam ser avaliados com mais frequência“, diz Chandiramani. “Em vez de apenas enviar questionários anualmente, é importante ter uma melhor compreensão do desempenho dos controles de segurança.” Isso inclui solicitar aos fornecedores relatórios regulares sobre ameaças, fazer com que as equipes de auditoria interna visitem os fornecedores, bem como atualizar os contratos das políticas de fornecedores regularmente, diz Chandiramani.
Ao entrar em um contrato com um novo fornecedor, Chandiramani diz que “é vital fazer com que os fornecedores entendam suas expectativas e padrões de segurança. Se houver algum descumprimento, as empresas devem comunicar aos fornecedores e garantir que o devido processo seja implementado dentro de um determinado período de tempo“.
Fonte: Bank Info Security & Security Discovery
Veja também:
6 Trackbacks / Pingbacks